WNCRY : pénalisons la bêtise numérique

Wncry, vous en avez forcément entendu parler. Cette attaque qui n’en est pas une a connu une vitesse de propagation certes impressionnante, mais contrairement à ce que nous avons pu entendre ou lire n’est pas « inédite ». Elle est en fait le résultat d’un bout de code qui n’aurait jamais du exister : une arme électronique de la NSA (un 0Day), qui a fuité, qui exploite des systèmes non mis à jour.

Cette pseudo « cyber catastrophe » n’en est pas une, il n’y a pas de fatalité, et le bon sens nous permettrait, si ce n’est de les éviter, au moins d’en limiter les effets.

Le commerce des 0day devrait être pénalisé, de Finfisher à l’Equation Group en passant par Stuxnet ou Hacking Team, nous en connaissons les effets… inéluctables, ils se retournent contre tout Internet.

Et au risque d’en choquer certains, il devient nécessaire de réprimer les personnes physiques ou morales qui connectent quoi que ce soit à Internet alors qu’elles savent que plus aucun correctif de sécurité n’est assuré sur l’objet qu’ils connectent à Internet.

Qu’une entreprise, une administration, un OIV, laisse en 2017 connectées au Net des machines sous Windows XP n’est pas tolérable, la justice et la loi doivent apporter des réponses fermes à ce problème qui dépasse de loin leur propre confort et impacte au final les personnes numériquement les plus faibles.

Vous trouvez ça idiot ? Mettez donc ça en perspective avec Hadopi et son délit de « négligence caractérisée ».

Twitter Facebook Google Plus email

31 thoughts on “WNCRY : pénalisons la bêtise numérique”

  1. Boarf, je suis globalement d’accord, y’a qu’un point qui pêche : c’est chaud pour les finances de certaines entités de virer tous les XP. Pour certains utilisateurs aussi.
    A titre perso, sur les 1100 postes à ma charges, tous les PC reliés a la boucle locale sont MAJ régulièrement, mais clairement pas les 5% du parc qui reste a migrer, dans des écoles, des bibliothèques comme postes en libre accès, etc.
    Evidemment que c’est problématique, mais pour certaines structure, dont la mienne, c’est irréaliste de financer un upgrade massif. Le ratio XP / 7-10 diminue tous les ans, mais impossible de programmer un changement en oneshot.

      1. De manière générale, dans ce genre de cas, la réponse dépend de la proportion de logiciels faits pour tourner sur du Windows sur l’infrastructure.

        – Le logiciel pour lister l’inventaire de la bibliothèque nécessite un client lourd (en gros, quoi que ce soit d’autre qu’une interface web)? Bon, on migre pas.
        – Les comptes sur les machines sont gérés via un serveur central Windows? Y’a moyen de bricoler. Mais justement, c’est pas forcement super stable, ça implique de payer et sécuriser un serveur supplémentaire. Est-ce que ça vaut le coup? Probablement pas.

        Je peux encore donner des exemples, mais bon, si l’infrastructure n’était pas prévue pour être mixe Windows/Linux au départ, c’est soit très compliqué soit irréalisable de le faire après coup.

  2. Il faudrait aussi pouvoir imposer aux professionnels d’avoir une politique de sauvegarde: «Mes fichiers sont inutilisables ? Pas grave, je restaure la sauvegarde».

    D’un autre coté, la négligence au-delà du raisonnable dans l’exercice de son métier, ça doit déjà être réprimé (et conserver tous les documents nécessaires pour faire son métier, ça fait partie du métier, quel que soit le métier). Ou alors c’est toléré parce que l’informatique c’est compliqué ?

    1. c’est toléré parce que souvent le client final fait un choix. Parfois raisonnable (« je préfère les sauvegardes DAT car je peux partir avec la sauvegarde dans la poche ») , parfois logique (« clairement trop cher pour moi, la sauvegarde externalisée.. 600€ par mois, vous vous rendez-compte? »), et souvent complètement idiot (« j’en veux veux pas, je ne risque rien, je suis un simple cabinet d’ophtalmo »)

      D’un autre côté, on a parfois les choix des constructeurs / prestataires qui utilisent des systèmes obsolètes pour leur équipement diagnostic ou de mesure. Toujours en ophtalmo, j’ai souvent vu des équipements fraichement installés (comprendre en 2016-2017) qui tournaient toujours sur XP (et en système embarqué hein, même pas un pc fourni en plus à côté de la machine).
      Le pire cas que j’ai vu, c’était un équipement de diagnostic en WIndows 95, ce qui nous a obligé à maintenir un serveur en Windows 2003 pour servir d’intermédiaire avec le reste du réseau géré par un domaine sous Windows 2012 R2.

      1. De nombreux professionnels ont acheté à prix d’or des logiciels pour un OS qui n’ont pas été mis à jour, certaines fois parce que l’éditeur n’existe plus. Ce n’est pas le prix d’un nouvel OS qui leur pose problème, mais leur outil de travail.

  3. Au dela de conserver des machines fonctionnant sous des OS obsolètes sans aucune mesure de sécurité autour, c’est surtout le fait de ne pas faire de mises à jour qui devrait être pénalisé.

    1. Ceux dont les fichiers seront (peut-être) déchiffrés contre 500 bitcoins sont AMHA déjà bien suffisamment pénalisés comme ça. N’ajoutons pas une nouvelle loi à un arsenal qui déborde de partout.
      Le seul truc « dommage » est qu’en l’état, les fautifs se retrouvent à payer une « amende » à une « entité privée » (quelle qu’elle soit) plutôt qu’au trésor public ;-)

        1. Le fonctionnement même de la société, ça te semble pas assez précieux?

          Beaucoup de sociétés ont fait le choix de sauvegarder le strict nécessaire: La comptabilité et la paye ! En oubliant que ce qu’elles ont besoin juste pour bosser est tout aussi précieux ! Et ça elles s’en rendent compte quand elles se mangent un cryptolocker.
          Idem, beaucoup d’employés gardent des données sur le poste, quand bien même tu leur serines qu’il faut le foutre sur le réseau. Que nenni, pour économiser quelques clics elles tankent tout sur le bureau ou dans mes documents. verdict? « ah bah mon bon monsieur, vous avez tout perdu. hein? bah non ce n’est pas récupérable, parce que la sauvegarde est sur le partage, oui celui-là, celui dans lequel vous ne mettez rien »

          Bienvenue dans le monde merveilleux de l’Informatique au rabais.

          Et tant que les sociétés vont continuer à perpétuer cette putain de culture de merde qui veut que l’informaticien il est juste là pour que ça fonctionne et ferme sa gueule, et s’il ose l’ouvrir, « oh bah on s’en tamponne de son avis, de toute façon je comprends rien à ce qu’il me dit », on continuera de voir des catastrophes de ce genre.

          « et c’est pas fini » qu’elle disait la pub -_-

          J’en ai franchement marre de devoir faire de la merde parce que le client refuse de payer ou refuse d’entendre.

    2. Même si ça reste des cas minoritaires, quand on voit la gueule de certaines mises à jour Windows (update w10, télémétrie, etc.), on comprend facilement que certains arrêtent de mettre à jour leur système.

  4. « Qu’une entreprise, une administration, un OIV, laisse en 2017 connectées au Net des machines sous Windows XP n’est pas tolérable »
    OK mais bon, là, la vuln en question elle tape de XP a Windows 8 (32/64) pas uniquement XP.
    C’est très facile de dire « ne connecter pas n’importe quoi sur internet » sachant que le worm se propage sur le LAN et que le poste d’un seul VIP infecté qui ramène son PC a boulot pour le faire desinfecter et le branche au LAN suffit a infecter toute la boite…(histoire vraie)
    Le problème est plus complexe que les IoT. Ce n’est pas JUSTE des incompétents qui ont mis n’importe quoi sur le net.
    C’est toujours facile le « user bashing ».

    1. Voici comment je vois les choses :
      Des vulnérabilités/backdoors non découvertes dans les systèmes privateurs ça existera toujours, c’est fait pour entre autre!
      Donc oui, en choisissant d’utiliser de tels systèmes par facilité ou habitude, les utilisateurs en subissent les conséquences.
      De plus le choix d’une informatique Libre pour son entreprise est forcément plus rentable sur le long terme, donc ce n’est pas la question (surtout si on compte les pertes financières dues à la perde de données lors de l’exploitation de vulns/backdoors)

      1. Encore faut-il POUVOIR passer au libre. Pour un particulier, c’est assez simple.
        Pour une entreprise, ça peut être plus compliqué et ce n’est pas qu’une question d’argent.

        Quand il n’y a pas de solution libre développée et que le matériel disponible n’est que privateur, on fait comment ?

        1. Hearthbleed (OpenSSL; 2014) → Parceque la NSA ne fait pas son boulot de SSI mais s’occupe plus à tout casser et que les entreprises refilent pas une thune (Google qui part faire BoringSSL c’est joli comme example d’ailleurs)
          shellshock (GNU Bash; 2014) → Relativement inexistant sur un système correctement configuré (debian met/mettait /bin/sh, donc dash(non-vunérable) pour les sessions non-humaines)
          failles du noyau → Si tu utilise grsecurity ou OpenBSD, tu as souvent rien.

          À un moment on parle de sécurité de personnes morales capables d’avoir trouze-mille machines mais incapable de configurer un minimum leurs machines (je dis pas que ça doit être aussi bien que un système en mode ultra-prudent mais presque).
          Aussi du logiciel libre ne veut pas dire uniquement linux, surtout pour du serveur.
          Et à noter que les problèmes (crash, failles, …) sur du Windows généralement y’a pas/peu de réaction (on à déjà eu un problème qui à cassé des tonnes de machines sur du Unix-like?) alors que dès que sur du libre il y a le moindre problème c’est l’alerte au niveau maximum.

          Dire « ouais, mais les hopitaux n’ont pas les outils adaptés ». Un organisme public est pas censé faire des appels d’offres ? Et à un moment si le truc c’est de dire : On à fait un choix de merde mais ce n’est pas notre faute. Au final plus personne est fautif (surtout dans le monde actuel où la responsabilitée doit revenir à UNE personne physique).
          Pareil pour moi on devrait agir comme pas possible sur les banques qui gèrent juste des nombres mais qui pour beaucoup/toutes sont sur des machines et systèmes censés être disparus sauf pour des musées et qui pour beaucoup ne suivent aucune des bonnes pratiques en termes de sécurité.

    2. C’est le boulot du DSI de sécuriser le réseau sur lequel sont ces machines qu’on ne veut pas mettre a jour, en particulier d’isoler les systèmes critiques d’un lan poubelle pour VIP.

  5. Et puis et puis, nous aurons toujours ces délicieux crosscripting qui enchantent nos soirées, ces bugs croustillants des protocoles SSL/TLS et autre, alors montrer du doigt ces pauvres XP responsables de tout me parait être de la dernière naïveté

  6. Le constructeurs de machines ont aussi leur rôle à jouer. Par exemple, je sais que certains hôpitaux ont des postes sous XP parce que les logiciels qui récupèrent les donnée de leur scanners, IRM, etc… ne fonctionnent pas sous des versions plus récentes de windows, sans parler de linux. Je suppose que le problème doit être le même pour tout un tas de machines dans l’industrie, même si je connais pas d’exemples.
    Et quand le prix des machines est de l’ordre du million d’euros, personne ne va proposer de la foutre à la casse juste parce que microsoft fais plus de mise à jour.

    1. C’est vrai que c’est le probleme principal, le support du driver pour le matos…mais bon une politique de mettre hors reseau les OS non maintenus ne me parait pas inssurmontable non plus et un virtualbox 512mo de ram non plus pour faire tourner un device et une passerelle donnée selective style wifiserial ou ethernetserial dedié au port du programme utilisé.

  7. Il faut quand même reconnaître qu’aussi imparfaite soit-elle, cette couverture médiatique aura au moins permis à des personnes non sensibilisées aux bonnes pratiques informatiques en général de voir des problématique concrètes en la matière. Au moins, c’est n’est plus juste un cas hypothétique un peu tordu et si au moins il y a un peu plus de monde à prendre conscience des risques et de ses propres responsabilités en la matière, c’est toujours ça de pris. Ça, c’était pour le mode optimiste.

    Après, il y a le mode négatif qui dira que dans 15 jours, tout le monde fera comme si rien ne s’était passé puisque la terre tourne toujours et que dans 2 mois, on reverra une nouvelle campagne du même type exploitant à peu près les mêmes vulnérabilités (puisque tout le monde n’aura pas patché, forcement).

    Finalement, je suis partagé…

  8. Two wrongs don’t make a right. Ce n’est pas parce qu’il existe une stupide législation – par ailleurs inapplicable et inappliquée – qu’il faut encore légiférer et punir. Les 0-day, des failles, elles existeront toujours par nature. Si certains parviennent à les exploiter, d’autres peuvent également installer les correctifs à distance, au lieu d’un ransomware, non ? Nous payons des impôts….

  9. Quand on entend (lemonde svp) que le mecanisme de paiement etait manuel (trigger humain pour dechiffrer), sur uniquement 4 adresses bitcoins…on pourrait penser à de l’amateurisme si on etait de mauvaise foi!
    Mais est-on si amateur que ca lorsqu’on dispose de leak de la nsa sans etre le dernier à l’utiliser? Est-on assez stupide pour verifier des paiments une multitudes de fois pour declencher la dechiffrage sans quoi la remeur prend vite le pas que cela ne sert à rien de payer.
    Ce devoir de parole – tu payes je dechiffre – sans quoi le business s’arrete, un kill dns est d’ailleurs implementé et surtout mal caché …
    Je suis pas devin mais bon ce serrait un virus en mode lanceurs d’alertes que je serai pas surpris [regardez bien à la vitesse et avec quelle facilté la NSA te pourri la vie privé, et oubli ton antivirus meme le plus cher et le plus infernal pour ton cpu]
    Il ne releve que les signatures correpondants à une plainte utilisateur, ou un comportement vraiment suspect, pas un bidule qui envoi tes donnees à des gens peu recommandables dont tu n’a aucune chance de te plaindre avant un bon moment.

    Mais bon ce n’est rien – 2017 on a pas passer le cap ipv6, on les affectionne nos routeurs :) ca va etre joyeux avec tout ces botnet en vieux noyau3.x (camip et autre iot, smart daubes non opensources) avec les boyaux enlibre service en ip publique.
    Tant que ya pas de controle de l’utilisateur des ports et des connections sortantes…ca sera rancon (sans cedille!) et sauvegardes. C’est pas si mal pour l’emploi.
    Avec les super boites noir à disposition des nos FAI, ils pourraient au moins nous aider et nous filer un webtool facile à prendre en main et nous envoyer un mail quand … on telecharge un film :)

    Clin d’oeil aux sanctions en place lors d’utilisation de logiciel p2p ou de streaming même à notre insu (sales gosses)…mais un botnet sous w95…bof ca sonne mal ou lobbying absent

  10. Et si on pénalisait les fournisseurs de systèmes d’exploitation qui permettent l’exécution de fichiers attachés à un mail, au simple motif qu’ils portent le bon nom, ou en l’occurrence la bonne extension ? Ca ne supprimerait pas tous les problèmes, mais vu le nombre de personnes qui se font avoir par ce biais, un changement de paradigme à ce niveau ne serait pas de trop !

    1. Certains fichiers qui ont leur place légitime dans des courriers mails peuvent inclure du code exécutable (je pense au pdf qui peut embarquer du javascript). Sinon, il ne faut pas se fier à l’extension des fichiers. Ce qui compte c’est ce qu’il y a dedans.

      Je ne pense pas que pénaliser qui que ce soit puisse être une bonne idée d’autant que le critère que vous proposez n’est pas clair.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *